Badacze z laboratorium F-Secure Labs ustalili, że złośliwe oprogramowanie LockerGoga zmienia hasło użytkownika na "HuHuHUHoHo283283@dJD". Następnie  wylogowuje go i wymaga podania nowego hasła. Po uzyskaniu uprawnień administratora szyfruje pliki dodając im rozszerzenie ".locked". Na pulpicie pojawia się notatka README_LOCKED.TXT z żądaniem okupu za odszyfrowanie danych.

Tom Van de Wiele, główny konsultant ds. bezpieczeństwa w F-Secure zaznacza, że atak na międzynarodową firmę przemysłową może nieść konsekwencje nie tylko gospodarcze, ale i polityczne. Złośliwe oprogramowanie typu ransomware zazwyczaj jest dla przestępców sposobem na szybki zarobek. Może jednak zostać użyte jako zasłona dymna, która odwróci uwagę od ukierunkowanego ataku o bardziej dotkliwych skutkach.

Cyberataki wymierzone w branżę przemysłową polegają często na kradzieży własności intelektualnej w celu zyskania przewagi konkurencyjnej. Ataków dokonują wielokrotnie podmioty powiązane z rządami państw.

Tom Van de Wiele zauważa, iż Norsk Hydro to międzynarodowe zakłady przemysłowe, z którymi współpracuje duża liczba dostawców usług. Źródłem naruszenia może być luka w systemie firmy lub zewnętrznej sieci dostawcy. Niewykluczone również, że jeden z pracowników otrzymał e-mail ze złośliwym załącznikiem. Zdaniem specjalisty z pewnością zawiodła jednak odpowiednia separacja systemów informatycznych od produkcyjnych.

Źródło: F-Secure